Continuando con nuestra visión general de la Ley de Privacidad del Consumidor de California (CCPA), examinamos la influencia del Reglamento General de Protección de Datos (GDPR) de la Unión Europea, y su papel en la configuración de las nuevas leyes de privacidad del consumidor de California.
Como resultado del GDPR, que entró en vigor el 25 de mayo de 2018, los residentes de la UE han recibido nuevos derechos legales más allá de los derechos anteriores proporcionados por la Ley de Protección de Datos, en relación con su Información Personal.
Los derechos de privacidad de datos de los ciudadanos de la UE incluyen ahora el derecho a:
-
acceder a sus datos personales;
-
saber qué datos tiene;
-
saber qué haces con sus datos;
-
corregir sus datos si son erróneos;
-
oponerse a determinados tratamientos automatizados de sus datos;
-
obtener una copia de los datos que tiene sobre ellos, en un formato portátil;
-
que se borren todos sus datos, incluidas las copias de seguridad.
No hace mucho tiempo, tanto las empresas como las organizaciones no comerciales tenían rienda suelta a nuestra información personal y a lo que podían hacer con ella.
Las filtraciones de datos y el abuso de la privacidad se producen a diario, debido a una seguridad inadecuada y a una falta general de respeto por los datos personales de los individuos. Sorprendentemente, muy pocas empresas tuvieron que rendir cuentas por sus acciones. Las primeras leyes de "protección de datos" simplemente no eran lo suficientemente estrictas para remediar los numerosos casos de vergüenza personal, trato injusto, transacciones fraudulentas y robo de identidad.
Por supuesto, el número de incidentes de este tipo apenas se ha reducido. Sin embargo, las empresas se están viendo obligadas a dar marcha atrás en sus prácticas de tratamiento de datos y a dar a los individuos un mayor control de lo que ocurre con su información personal.
Como se mencionó en la primera parte de este artículo, se espera que la CCPA entre en vigor el 1 de enero de 2020, dando a los individuos las garantías adecuadas en el mundo conectado.
En este momento, no hay una ley federal de privacidad en los Estados Unidos, aunque en septiembre de 2018, la Administración Nacional de Telecomunicaciones e Información (NTIA) invitó a comentarios públicos sobre su propuesta de enfoque de la privacidad del consumidor. (véase nuestro artículo titulado "Estrategia de privacidad del consumidor de la NTIA ~ Enfoque propuesto".
Por lo tanto, la CCPA está siendo anunciada como un enorme paso adelante en la creación de salvaguardias para los consumidores que realizan transacciones con las empresas, ya sea por la venta de información personal, o el intercambio de datos para un servicio. Se esperan nuevas modificaciones antes de que la CCPA se convierta finalmente en ley, ya que la última actualización se publicó en octubre de 2018.
Tanto el GDPR como la CCPA proporcionan a un individuo el derecho legal de pedir a una empresa que deje de compartir o vender su información personal. Sin embargo, la diferencia es que el GDPR requiere el consentimiento explícito del consumidor para recoger sus datos. En la actualidad, la CCPA no exige este requisito.
Esto significa que la legislación actual de Estados Unidos sigue permitiendo a las empresas recopilar información de identificación personal (IIP) sin obstáculos, y los consumidores tienen la posibilidad de elegir si la organización puede vender lo que ha recopilado, a posteriori. La CCPA consigue esto exigiendo a las empresas que incluyan un enlace "No vender mi información personal" en su sitio web.
Así pues, aunque la CCPA permite a las empresas recopilar información sin el consentimiento explícito del consumidor, al igual que el RGPD, otorga a los individuos el derecho a solicitar la eliminación de todos sus datos.
Sanciones económicas
Las sanciones económicas en virtud de la CCPA suelen conllevar multas de entre $2.500 y $7.500. El importe depende fundamentalmente del tipo de infracción que se haya producido. En este momento, no existe un límite máximo para el número de infracciones y las consiguientes multas que pueden imponerse.
El RGPD administra las sanciones económicas a través de una autoridad de protección de datos designada, a saber, la Oficina del Comisario de Información (ICO), situada en el Reino Unido. La CCPA tramita las denuncias y las multas resultantes a través del Fiscal General de California.
Al igual que con el RGPD, una vez que el Fiscal General ha sido notificado oficialmente de una violación, las empresas tienen 30 días para responder resolviendo el problema y poniendo sus procesos en conformidad, evitando así las sanciones. Sin embargo, en los casos que implican una violación de datos significativa, esto puede ser una tarea desalentadora.
Responsabilidades de divulgación
El requisito de una mayor divulgación representa una gran parte del cumplimiento de la CCPA. Las empresas sujetas a la CCPA deben explicar de forma clara y proactiva los avisos de privacidad a los consumidores, siempre que se recojan y procesen datos personales. Esto incluye garantizar que los consumidores conozcan sus derechos en virtud de la CCPA, las categorías de información personal que se recogen y cómo se utiliza esa información personal. Las empresas también deben explicar las categorías de información personal que la empresa vende o comparte con terceros. Esta información debe actualizarse cada 12 meses.
Derecho de acción privada
El GDPR de la UE abrió las puertas a un torrente de litigios, con acciones contra empresas no sólo en Europa, sino también en los EE.UU. La CCPA seguirá sin duda el ejemplo, con sanciones impuestas a las empresas de fuera del estado, así como a las empresas con sede en California.
La CCPA proporciona a los consumidores un derecho de acción privado, si su información personal es:
"objeto de un acceso no autorizado y de una exfiltración, robo o divulgación como resultado de la violación por parte de la empresa del deber de aplicar y mantener procedimientos y prácticas de seguridad razonables".
Los consumidores tienen derecho a presentar una demanda individual o colectiva y pueden obtener una indemnización por daños y perjuicios de entre $100 y $750 por incidente o, en algunos casos, por daños reales. La CCPA también permite a los consumidores solicitar medidas cautelares y otras formas de reparación y establece varios procedimientos para las acciones que buscan daños reales, en contraposición a los daños legales.
Preparación para el CCPA
La CCPA ya ha sido modificada una vez, en octubre de 2018. Se espera que sufra actualizaciones adicionales antes de entrar en vigor en enero de 2020. Sin embargo, las empresas deben empezar a prepararse cuanto antes.
Antes de la entrada en vigor de la CCPA, será necesario actualizar los avisos de privacidad, las políticas, los procedimientos y otros aspectos claros y concisos. Como mínimo, las empresas deberían empezar a trazar y documentar la información personal que recogen, así como los lugares donde se almacenan los datos personales. Esto les permitirá, como mínimo, cumplir con cualquier solicitud de información en virtud de la CCPA.